커피닉스, 시스템 엔지니어의 쉼터

procmail에서 Swen 웜 필터링

작성일 : 2003/09/21 18:55

글쓴이 : 좋은진호 ( http://coffeenix.net/ )

조회수 : 6570

작성자 : 좋은진호(truefeel, http://coffeenix.net/ ) 작성일 : 2003.9.21(일) Swen 웜(Win32.Swen@mm.worm, 스웬 웜)이 국내에도 들어왔다고 하는데, 아직 받아보지 못했습니다. 따라서 아래 설정을 테스트는 못했습니다. 미리 준비한다고 손해볼 것도 없겠죠? Swen웜이 메일로만 전파되는 것이 아니고 KaZaA P2P 프로그램과 IRC(mIRC 이용), 공유된 네트워크 폴더를 통해서도 전파됩니다. 다음은 외국의 한 뉴스그룹에 포스팅됐던 필터링 설정입니다. (빈줄 포함 11줄) /etc/procmailrc 에 추가하면 됩니다. -------------------------------------------------- SPAM_LOG = "/var/log/spam.log" :0 * > 140000 * < 165000 { :0 BD * b3IAAABBZG1pbgAAAEdFVCBodHRwOi8vd3cyLmZjZS52dXRici5jei9iaW4vY291bnRlci5naWYv $SPAM_LOG } -------------------------------------------------- 메일 크기가 140K~165K이고, 본문에 b3I... 가 포함된 것은 Swen 웜으로 간주하여 $SPAM_LOG에 저장해둡니다. 웜을 저장해 둘 필요없으면 $SPAM_LOG 대신에 /dev/null로. Swen 웜이 제목이나 첨부파일명이 일정하지 않기 때문에 저런 형식으로 필터링합니다만 한가지 다른 특징 중에 'subject:'이 대문자랍니다. 따라서 다음과 같은 형태로도 가능합니다. (빈줄 포함 5줄) -------------------------------------------------- SPAM_LOG = "/var/log/spam.log" :0 D * ^SUBJECT: $SPAM_LOG -------------------------------------------------- Swen 웜의 상세한 정보는 http://www.certcc.or.kr/cvirc/Alert/warning/2003/W32_Swen@mm_worm.html http://home.ahnlab.com/smart2u/virus_detail_1220.html

커피닉스, 시스템 엔지니어의 쉼터 / URL : http://coffeenix.net/board_view.php?bd_code=75